以用户为中心的设计 |
|||
忘记了一个账户的password, 折腾了n个常用组合全部不对…然后就收到警告说这是最后一次尝试机会,失败后就锁住帐号了。试图找回密码,问题之一是我的邮政编码,尝试了n个我曾用用过的也都说不对… :( :( 这是一个里面有钱的online帐户,否则我肯定立刻抛弃它算了。 参看email寻找蛛丝马迹的回忆,发现这个服务真是安全到家,任何email中都没有任何密码和找回密码相关的线索…:( :( 唯一能看到的是我在11月修改了一次密码,然后两天后连续登陆失败了2次后想起来了密码,但上个月我改用了什么密码呢? 密码真是个非常麻烦的事情,想想我有多少个密码,简直是太可怕的事情了 -- 电脑有密码,门卡有密码、email有密码,n张银行卡有密码,水、电、煤气、电视、垃圾全部有密码,还有税务局、billpay… 当然还有n多个网络服务的密码… 虽然我把所有密码归类成为3类:简单、常用较复杂、重要,但是有的服务只能用数字、有的必须要8位,有的需要大写字母和数字,有的不允许特殊字符如#$%… 更糟糕的是,我的公司IT强硬要求每3个月更换一次密码,而且所有曾经用过的密码都不能再用,所以每过一段时间就很不适应。 总之目前的密码体系是个很糟糕的事情,随着需要密码的服务越来越多,这个问题就会越来越严重。 这么多密码真的有足够安全意义吗? 我看未必,我相信很多人和我类似只用几套密码于n多个服务,所以其实一旦一个服务的密码泄露就可能危及所有的--而这种习惯也增加了泄密的风险,一个设计比较差的服务可能会被人攻陷而泄露明文保存的用户密码,然后被攻击者用于攻击其他更重要的系统,甚至可以专门为此设计钓鱼的骗密码网站 --这也是为什么我对不重要服务一律使用简单密码的原因,反正不care, 而且不会危及我真正重要的帐户。另外也有人可能会把密码写下来,或者记在某个online服务内(比如email) --事实上这种看似不安全的做法却非常有用. 密码本身不是个问题,而是目前的密码体系各自为政的设计,这个局面也许即将被打破。 |